安全可靠科学研究相关人员又辨认出了少于2000个WordPress公交站点,病毒感染了被读取到WordPress后端登入网页的按键历史记录器,科学研究相关人员将那些新辨认出的病毒感染处所与 2017年12月底出现的类似于暴力行动联络出来。
简述: 2017年12月出现的该事件:
在整整5500个受病毒感染的WordPress中文网站上辨认出了按键历史记录器
整整5500个WordPress公交站点被蓄意JAVA所病毒感染,那些JAVA历史记录按键敲打,有时候还会使应用领域流程读取身份验证的流程。
蓄意JAVA从“cloudflare.solutions ”的搜索引擎读取,它与Cloudflare没任何人亲密关系,蓄意JAVA能历史记录使用者在表单词段内输出的任何人文本。
该JAVA读取在公交站点的后端和后端,这意味著当登入到公交站点的管理工作液晶时,它还能历史记录使用者名和公钥。
当右边的JAVA在后端运转时,也很脆弱。在绝大多数WordPress中文网站上,惟一能盗取使用者统计数据的地方性是文章栏,许多WordPress中文网站被实用性为在应用领域零售店上实用性,在那些示例中,普通用户能历史记录网银统计数据和个人使用者详细资料。
那些该事件大多出现是因为黑客通过各种手段入侵WordPress公交站点,并将蓄意JAVA隐藏在函数内,php是所有WordPress主题的标准文件。
攻击很简单。不法分子找到不安全可靠的WordPress中文网站 – 通常运转较老的WordPress版本或较旧的主题和插件 – 并利用那些中文网站的漏洞将蓄意代码注入到CMS的源代码中。
蓄意代码包括两部分。对于管理工作员登入网页,代码读取托管在第三方域的按键历史记录器。对于该中文网站的后端,骗子使用访问该中文网站的相关人员的CPU读取Coinhive在应用领域流程自动挖矿、
骗子迁移到新的搜索引擎
对于2017年末的活动,骗子从“cloudflare.solutions”搜索引擎中读取了他们的按键历史记录。那些攻击该事件影响了近5,500个WordPress公交站点,但是在12月8日当注册服务商封了那些黑客的搜索引擎后,那些攻击就停止了。
根据Sucuri昨天发布的一份新报告,自2017年4月以来,该公司一直在跟踪这一活动,现在骗子正在从三个新搜索引擎cdjs.online,cdns.ws和msdns.online读取按键历史记录器。
基于经由publicwww.com获得的统计数据,有少于2000位点读取从这三个搜索引擎
[JAVA1,2,3 ]
https://publicwww.com/websites/%22cdjs.online%22/
https://publicwww.com/websites/%22cdns.ws%22/
https://publicwww.com/websites/%22msdns.online%22/
华盟君担心,并不是所有的受影响的中文网站都被收录在PublicWWW中,受害者的数量可能会更大。
建议WordPress中文网站所有者检查他们的中文网站,更新需要更新的东西,并检查是否在他们的登入网页上读取了可疑的JAVA。
普通用户从2017年4月开始活跃
如前所述,这个活动自2017年4月以来一直在进行,到2017年的大部分时间里,黑客正忙于在被黑中文网站上嵌入横幅广告,并读取伪装成假jQuery和Google Analytics JavaScript文件的Coinhive身份验证JAVA。
直到十二月,这个组织才开始采用更为狡猾的通过按键历史记录器收集管理工作员凭证的做法?
你可能喜欢
WordPress 4.6远程代码执行漏洞(非插件无需认证,附Poc,演示视频)
WordPress插件Jetpack存储型XSS漏洞原理分析及复现
